こんにちは。
本コラムでは、請求書を装ったファイルの展開をきっかけに端末侵害が発生した事例をご紹介します。

業務に関連するように見えるファイルは、受け取った側が警戒を緩めやすい傾向があります。とくに「請求書」のように確認の優先度が高そうな名前は、開封の判断を急がせる要因になりやすいため注意が必要です。

今回の事例では、チャットツール経由で受領したファイルを開いた直後から不審な挙動が連鎖しました。UAC バイパス、DLL サイドロード、外部通信、圧縮ファイルの生成までが続いて確認されており、発生後の初動対応が重要となったケースです。

■ 3つのポイント

今回の事例で押さえるべきポイントは、次の 3 点です。

① 請求書を装った実行ファイルだった

ファイル名は【「請求書せいきゅうしょ⑤⓪」.EXE】でした。請求書という業務名を含んでいても、実体は実行ファイルであり、見た目だけでは安全かどうか判断できません。ユーザー操作を起点とする攻撃は、いまもなお発生しています。

② 受領経路が業務連絡に見えた

当該ファイルは、攻撃者に乗っ取られた正規の顧客アカウントのチャット ツールから送られてきました。普段の業務連絡と同じ経路で届くため、内容の確認が甘くなり、そのまま実行してしまうリスクがあります。

③ 展開後に不審な挙動が連鎖した

実行直後から、DLL の読み込み、新たな実行ファイルの生成、レジストリ変更による権限操作が続けて確認されました。さらに外部通信や 7zip ファイルの生成も見つかっており、単発の誤動作ではなく、複数の処理が連動していた可能性が高い状況でした。

これらの挙動を踏まえ、本事象は単なる誤検知ではなく、不審性の高い一連の動作であると判断し、ユーザー端末の隔離を実施しました。

■ 何がおこったか

本事例は、ユーザーがチャット ツール経由で受信したファイルを展開・実行したことから始まりました。対象は「請求書」という名称を含む実行ファイルで、ダウンロードフォルダに保存された後、ユーザー操作により起動されています。

実行後は、UAC バイパスを試みる挙動が検知され、同じディレクトリに配置された DLL の読み込みも確認されました。ここから、DLL サイドロードが行われた可能性が考えられます。

さらに、別の実行ファイルや DLL が生成され、cmd.exe や ComputerDefaults.exe の起動も続きました。同時刻帯には不審な外部ドメイン（sjanmxa.cc）への通信が複数回確認され、7zip 形式のアーカイブファイルも生成されています。ファイル収集や情報送受信を伴う一連の処理が進んでいた可能性があります。

一方で、その時点では不審なサインインや他端末への影響は確認されませんでした。対応としては、デバイスを隔離したうえでユーザーへのヒアリングを行い、ファイルの入手経緯と実行事実を確認しました。その後、フルスキャンと残存ファイルの削除を実施し、隔離を解除して業務を再開しています。

■ NRAS でできること

本事例のようなユーザー起点のファイル実行は、事前に完全に防ぐことが難しい一方で、発生後の初動で被害を小さくできます。今回のアラートは Microsoft Defender for Endpoint により「UAC bypass was detected」として検知され、NRAS では以下の観点で状況を整理しました。

• 削除すべきファイルの把握
• 外部通信の有無
• 他端末への横展開の有無

検知時点では、ユーザーが顧客と Teams で商談中でしたが、緊急性を優先して端末隔離を実施しました。NRAS では、Teams の接続を可能にしたまま隔離する運用にも対応しています。

このように、請求書を装ったファイルが引き金になっても、早期検知と迅速な封じ込めができれば重大な影響は抑えられます。ユーザー起点の攻撃を前提に、検知から隔離、調査、復旧までを一連で回せる体制づくりが重要です。

【サービス詳細】
NR Automate Security（ NRAS）
https://nextread.co.jp/service-nras/

【関連記事】
「すごいぞ NRAS！対応事例のご紹介」シリーズ
・フィッシングを起点としたデバイスコード認証悪用と不正アクセスの事例
https://nextread.co.jp/column-casestudy/nr-automate-security07/